جزئیات حمله سایبری مهر ماه 1399 توسط مرکز افتای ریاست جمهوری اعلام شد !

مرکز راهبردی افتا ریاست جمهوری 11 روز بعد از حمله باج افزاری به چند مرکز دولتی مهم اطلاعیه ای منتشر کرد و در آن به شرح جزئیات فنی حمله باج افزاری پرداخت. نکات مهمی در این حمله سایبری وجود دارد که اگر چه پیشتر بارها آنها را مطرح کرده ایم اما این اتفاق زنگ خطری برای همه سازمان ها ، شرکت ها و مدیران شبکه گرامی میباشد تا به مسائل امنیت سایبری توجه بیشتری نمایند. براي اطلاعات بيشتر روي ادامه خبر كليك نمائيد.

‼️ بررسی نکات مهم حمله سایبری مهر 1399 بر اساس گزارش مرکز افتا :


متن اطلاعیه مرکز افتا در خصوص حمله سایبری مهر 99


اخبار و جزئیات این حمله پیشتر در لینک های زیر در سایت کامیران منتشر شده است :

93-ZeroLogonCyberAttack.html

95-Detection_Zerologon.html

▪️ همانند بسیاری از حملات باج افزاری دیگر که پیشتر در کانال آموزش داده ایم، این حمله نیز با دسترسی PowerShell انجام شده است. پیشتر هم در سال 2018 حملات GandCrab 5.0.3 از همین روش استفاده کرده بودند که در این پست ، به شرح آنها پرداختیم.

▪️ این حملات اصطلاحا File-Less هستند و فایلی در سرور قربانی بارگذاری یا کپی نمیشود. همانطور که در فیلم های شبیه سازی حمله Zerologon هم دیدید کل حمله میتواند به وسیله چند فرمان و اسکریپت از یک کلاینت ساماندهی و اجرا شود.

▪️ هکر برای اجرای این حملات نیاز به بازبودن یک پورت آسیب پذیر همانند RDP,SQL,Oracle و ... دارد. البته با توجه به اینکه در این حملات از آسیب پذیری Zerologon برای کنترل DC استفاده شده است حتی یک سیستم آلوده و فاقد آنتی ویروس کارامد هم میتواند سکوی فرماندهی هکر در شبکه قربانی باشد.

▪️ نکته جالب این گروه باج افزاری تلاش برای روشن کردن سایر سیستم ها از طریق فرمان Wake-on-LAN میباشد که در نوع خود جالب بوده و نشان از خلاقیت بالای هکر دارد.

▪️ در مجموع به غیر از استفاده از آسیب پذیری Zerologon برای هک DC و تلاش نفوذگر برای روشن کردن سایر سیستم ها، بقیه موارد این گزارش همانند سایر حملات باج افزاری چندین سال اخیر میباشد و تکنیک خاص جدیدی توسط هکر استفاده نشده است.

‼️ آیا مشترکین کامیران در برابر این حملات سایبری ایمن هستند ؟

▪️ مشترکین ESET کامیران مشروط بر نصب آنتی ویروس فعال و آپدیت شده ESET Endpoint نسخه 7 بر روی کلیه کلاینتها و File Security For Server نسخه 7 بر روی کلیه سرورها، از گزند این حملات کاملا در امان خواهند بود. زیرا طبق این ویدئو اجرای فرامین PowerShell و Script ها در سیاست های چند لایه HIPS Antiransomware مسدود هستند و هکر امکان اجرای دستورات از سیستم های محافظت شده را نخواهد داشت. همچنین همانطور که در این ویدیو دیدید آسیب پذیری Zerologon توسط ESET IDS بر روی سرور های DC و همچنین کلاینت ها مسدود میشود. لذا امکان اجرای این حمله سایبری با وجود ESET نگارش 7 سازمانی تقریبا صفر است.

چه سرویس هایی در سیاست های ضد باج افزاری ESET مسدود شده اند ؟

سیاست های مبتنی بر HIPS و  سیاست های مبتنی بر Firewall

مشترکین Kaspersky و Bitdefender هم با همان شرط محافظت شدن کل سیستم های شبکه توسط آنتی ویروس و نصب پچ Zerologon بر روی DC ها میتوانند خطر این حملات را به حداقل برسانند.

‼️ باز هم اکیدا هشدار میدهیم نسخه های 4 ، 5 یا حتی 6 ESET به دلیل نداشتن HIPS Antiransomware و IDS روی سرورها و سایر ماژول های امنیتی جدید، امکان مقابله با حملات این چنینی را ندارند. لذا فقط از نسخه های ESET7 به بالا برای امنیت شرکت و سازمان خود استفاده نمائید.

‼️ طرق همیشگی تماس با پشتیبانی:
تلگرام: @KamiranSupport ، واتساپ 09332050007 ، مرکز تماس 02147251  ، سامانه www.47251.ir

برای دریافت سریع اخبار امنیتی در مورد ویروس ها و حملات جدید در کانال تلگرام مدیران شبکه شرکت کامیران عضو شوید :

کانال مدیران فناوری اطلاعات شرکت کامیران:
KAMIRANChannel@

لابراتوآر ويروس شناسی شركت مهندسي كاميران
____________________________________________________

   

مرتبط با موضوع :

 آسیب پذیری بحرانی در ConnectWise ScreenConnect

 آسیب پذیری خطرناک در فایروالهای Fortigate

 هک فایروال Sophos در ده ثانیه

 ESET حملات Zerologon را مسدود میکند

 حمله های سایبری با ZeroLogon

 آنالیز حمله باج افزاری WastedLocker

 حمله باج افزاری Makop

 آنالیز یک حمله باج افزاری Phobos